Οι ransomware επιθέσεις στοχοποιούν όλο και περισσότερο τους οργανισμούς. Ωστόσο, με την πάροδο του χρόνου, οι οργανισμοί έχουν τη δυνατότητα να ανιχνεύουν τέτοιου είδους επιθέσεις γρηγορότερα και ευκολότερα καθώς ο συνολικός διάμεσος χρόνος παραμονής, δηλαδή η διάρκεια μεταξύ της έναρξης μιας εισβολής στο κυβερνοχώρο και της ανίχνευσής της, ήταν 56 ημέρες. Αυτός ο μέσος όρος είναι 28% χαμηλότερος από το μέσο όρο των 78 ημερών που παρατηρήθηκε το 2019, σύμφωνα με το FireEye.
Οι ειδικοί αποδίδουν αυτήν την τάση στο γεγονός ότι οι οργανισμοί θέλουν να βελτιώνουν τα προγράμματα ανίχνευσής τους, ενώ παράλληλα αλλάζουν οι συμπεριφορές των εισβολέων. Για παράδειγμα, παρατηρείται ολοένα αυξανόμενος αριθμός καταστροφικών επιθέσεων, όπως οι ransomware και miners cryptocurrency, οι οποίες συχνά έχουν μικρότερους χρόνους παραμονής από άλλους τύπους επιθέσεων.
Οι εσωτερικές και εξωτερικές ώρες ανίχνευσης έχουν επίσης μειωθεί. Ο μέσος χρόνος παραμονής για οργανισμούς που έμαθαν για την επίθεση από ένα εξωτερικό συμβαλλόμενο μέρος υπολογίζεται στις 141 ημέρες, σημειώνοντας μείωση κατά 23% από την προηγούμενη έκθεση του M-Trends που ήταν 184 ημέρες. Παράλληλα, ο μέσος χρόνος παραμονής για οργανισμούς που ανίχνευσαν την επίθεση υπολογίζεται στις 30 ημέρες, σημειώνοντας μείωση κατά 40% σε ετήσια βάση, καθώς πριν ήταν 50,5 ημέρες. Ενώ ο εσωτερικός χρόνος παραμονής έφτασε στο μέγιστο επίπεδο βελτίωσης, το 12% των ερευνών εξακολουθεί να έχει χρόνο παραμονής μεγαλύτερο από 700 ημέρες.
Παρόλο που ο χρόνος παραμονής για επιθέσεις που εντοπίζονται εσωτερικά από οργανισμούς έχει μειωθεί, το συνολικό ποσοστό των αυτοκαθορισμένων περιστατικών ασφαλείας έναντι εξωτερικών πηγών έχει επίσης μειωθεί. Συγκεκριμένα, υπήρξε μείωση κατά 12 ποσοστιαίες μονάδες στο ποσοστό των εισβολών που εντοπίστηκαν εσωτερικά, από έτος σε έτος. Αυτό έρχεται μετά από μια σταθερή αύξηση των εσωτερικών ανιχνεύσεων από το 2011. Το 2019 είναι η πρώτη φορά σε διάρκεια τεσσάρων χρόνων που οι εξωτερικές ειδοποιήσεις, όταν δηλαδή μια εξωτερική οντότητα ενημερώνει έναν οργανισμό ότι έχει παραβιαστεί, ξεπέρασαν σε αριθμό τις εσωτερικές ανιχνεύσεις. Αυτό μπορεί να οφείλεται σε διάφορους λόγους, όπως είναι οι αυξήσεις στις ειδοποιήσεις για την επιβολή του νόμου και στον προμηθευτή στον κυβερνοχώρο, οι αλλαγές στα πρότυπα δημόσιας γνωστοποίησης και οι αλλαγές στη μορφή των επιθέσεων. Είναι απίθανο η ικανότητα των οργανισμών να ανιχνεύουν εισβολές να επιδεινώνεται, καθώς μετρήσεις δείχνουν συνεχείς βελτιώσεις στις οργανωτικές ανιχνεύσεις και την ανταπόκριση.
Μέσα στο 2019 παρατηρήθηκαν εκατοντάδες νέες οικογένειες κακόβουλου λογισμικού εκ των οποίων το 41% δεν είχε εμφανιστεί στο παρελθόν. Επιπλέον, το 70% ανήκε σε μία από τις πέντε πιο συχνά παρατηρούμενες οικογένειες, οι οποίες βασίζονται σε εργαλεία ανοικτού κώδικα με ενεργό ανάπτυξη. Οι νέες οικογένειες κακόβουλου λογισμικού αποδεικνύουν μεταξύ άλλων ότι οι κυβερνοεγκληματίες αναζητούν τρόπους για να βγάλουν χρήματα πιο γρήγορα. Επίσης, η πλειοψηφία των νέων οικογενειών κακόβουλου λογισμικού επηρέασε τα Windows και άλλες πλατφόρμες. Ενώ οι νέες οικογένειες κακόβουλων προγραμμάτων επηρέασαν αποκλειστικά το Linux ή το Mac, αυτή η δραστηριότητα παραμένει στη μειονότητα.
Από τις επιθέσεις που εντοπίστηκαν, το 29% είχε ως κίνητρο το άμεσο οικονομικό κέρδος. Αυτό περιλαμβάνει εκβιασμούς, λύτρα, κλοπή καρτών και παράνομες μεταφορές. Το 22% των επιθέσεων είχε να κάνει με κλοπή δεδομένων πιθανότατα για την υποστήριξη των στόχων τελικής πνευματικής ιδιοκτησίας ή κατασκοπείας. Η επιτυχής δημιουργία εσόδων από ransomware επιθέσεις και η διαθεσιμότητα του ransomware ως υπηρεσίας συνέβαλαν στην αύξηση των συνολικών περιστατικών ransomware. Οι καθιερωμένες ομάδες εγκληματικότητας στον κυβερνοχώρο, οι οποίες στοχεύουν προσωπικές πληροφορίες και πληροφορίες πιστωτικών καρτών, στρέφονται ολοένα και περισσότερο στο ransomware ως δευτερεύον μέσο δημιουργίας εσόδων. Δεδομένης της ευκολίας με την οποία μπορούν να εκτελεστούν οι ransomware επιθέσεις και της συνεχιζόμενης οικονομικής επιτυχίας για τους επιτιθέμενους, αναμένεται ότι το ransomware θα εξακολουθήσει να χρησιμοποιείται ως δευτερεύον μέσο για τη δημιουργία εσόδων από την πρόσβαση στα θύματα.
